Обнаружениеи предотвращение угрозбезопасности

© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 1

Обнаружение ипредотвращениеугроз безопасности

Михаил КадерИнженер-консультант[email protected]

2© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Обзор

� Структура атаки

� Контроль и обнаружение

� Отражение в проактивном режие

� Отражение в реактивном режиме

� Перспективы


Структура атаки


Знать своего врага: структура атаки

Цель

1

2

3

4

5

Сканирование

Проникновение

Внедрение

Распространение

Ослабление системы

� Проверка адресов

� Сканирование портов

� Пассивное зондирование

� Подбор учетных записейпользователей

� Подбор почтовыхадресов пользователей

� Почтовые вложения

� Переполнения буфера

� Элементы управления ActiveX

� Сетевые установки

� Сжатые сообщения

� Поиск «люков»

� Создание новых файлов

� Изменение существующих файлов

� Снижение уровня защиты реестра

� Установка новых служб

� Регистрация «люков»

� Копия атаки, передаваемая по почте

� Web-соединение

� IRC

� FTP

� Инфицированные общиефайловые ресурсы� Удаление файлов

� Изменение файлов

� Использованиеслабых мест всистеме безопасности

� Сбой компьютера

� Отказ вобслуживании

� Кража секретнойинформации


Контроль иобнаружение


Обнаружение

� Работу с макроаналитическими данными можносравнить с ситуацией с несколькими стогами сена ипопыткой определить, в каком из них может находитьсяиголка

NetFlow

Статистические данные интерфейса устройства

MRTG на основе SNMP

� Работа с микроаналитическими данными сходна спопыткой точного нахождения иголки и всей связанной сней информации

Сигнатуры IPS

События CSA

Системные журналы

PIX/ASA


Макроаналитическая идентификация: NetFlow

router#show ip cache flow

IP packet size distribution (126502449 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480

.009 .622 .036 .007 .008 .008 .004 .012 .000 .000 .004 .001 .002 .002 .007

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.000 .001 .190 .012 .065 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 4456704 bytes

42 active, 65494 inactive, 64005154 added

187735066 ager polls, 0 flow alloc failures

Active flows timeout in 1 minutes

Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 402056 bytes

42 active, 16342 inactive, 3532666 added, 3532666 added to flow

0 alloc failures, 0 force free

1 chunk, 10 chunks added

last clearing of statistics never

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)

-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow

TCP-Telnet 11403610 2.6 1 49 3.0 0.0 1.5

TCP-FTP 6769 0.0 8 53 0.0 6.0 7.7

TCP-FTPD 665 0.0 3334 889 0.5 54.0 0.4

TCP-WWW 163728 0.0 13 750 0.5 4.2 9.2


Макроаналитическая идентификация: статистические данные устройстваrouter#show ip traffic

IP statistics:

Rcvd: 89038506 total, 4288288 local destination

43999 format errors, 0 checksum errors, 553 bad hop count

2 unknown protocol, 929 not a gateway

21 security failures, 190123 bad options, 542769 with options

Opts: 352227 end, 453 nop, 36 basic security, 2 loose source route

45 timestamp, 59 extended security, 41 record route

53 stream ID, 3 strict source route, 40 alert, 45 cipso, 0 ump

361634 other

Frags: 0 reassembled, 10008 timeouts, 56866 couldn't reassemble

0 fragmented, 0 fragments, 0 couldn't fragment

Bcast: 126217 received, 0 sent

Mcast: 3110810 received, 4700653 sent

Sent: 5594057 generated, 84410137 forwarded

Drop: 4262 encapsulation failed, 0 unresolved, 0 no adjacency

352 no route, 43502 unicast RPF, 509 forced drop

0 options denied

Drop: 0 packets with source IP address zero

Drop: 0 packets with internal loop back IP address

ICMP statistics:

Rcvd: 0 format errors, 0 checksum errors, 0 redirects, 9048 unreachable

12471 echo, 10 echo reply, 0 mask requests, 0 mask replies, 0 quench

0 parameter, 0 timestamp, 0 timestamp replies, 0 info request, 0 other

0 irdp solicitations, 0 irdp advertisements

Sent: 19 redirects, 1023 unreachable, 15 echo, 12471 echo reply

0 mask requests, 0 mask replies, 0 quench, 0 timestamp, 0 timestamp replies

0 info reply, 562 time exceeded, 115439 parameter problem


Микроаналитическая идентификация: IPS

evIdsAlert: eventId=1170153876969433741 vendor=Cisco severity=high

originator:

hostId: ips6x

appName: sensorApp

appInstanceId: 22954

time: March 30, 2007 1:53:19 AM UTC offset=-300 timeZone=CDT

signature: description=Cursor/Icon File Format Buffer Overflow id=5442

version=S137

subsigId: 0

sigDetails: Malicious ANI File

marsCategory: Penetrate/BufferOverflow/Misc

interfaceGroup: vs0

vlan: 200

participants:

attacker:

addr: 192.168.150.1 locality=OUT

port: 80

target:


port: 32951

os: idSource=unknown type=unknown relevance=unknown

context:

fromAttacker:

triggerPacket:

riskRatingValue: 60 targetValueRating=medium

threatRatingValue: 60

interface: ge0_7

protocol: tcp


Системный журнал: атака на интерфейсRPC службы DNS в ОС Microsoft

May 16 2007 15:08:47: %ASA-2-106001: Inbound TCP connection denied

192.168.208.63/35565 to 192.168.2.1/1025 flags SYN on interface outside






















192.168.208.63/35576 to 192.168.2.1/1031 flags SYN on interface outsided


CS-MARS: атака на интерфейс RPC службы DNS в ОС Microsoft


Уведомления и предупреждения

� Могут быть предвестниками более серьезных событий. Идентификация этих событий может иметь большое значениедля более поздних событий. Уведомления и предупреждениямогут присутствовать как в микро-, так и в макроаналитическихданных

� В отдельных случаях ранее обнаружение может привести кустранению и сдерживанию будущих атак

� Существует множество форм уведомлений и предупреждений, однако опытный атакующий может изменить способы ивременные соотношения, чтобы остаться необнаруженным

� Благодаря знанию собственной сети, использованиеуведомлений и предупреждений становится болееэффективным.


Уведомления и предупреждения: сеть

� Направленное сканирование и зондирование. За счетизменения методик сканирования опытные хакеры могутизбежать обнаружения.

� Мониторинг пространства IP-адресов злоумышленников(темного пространства) позволяет не только легко определятьпопытки проникновения, но и помогает обнаруживать попыткизондирования в результате обычного сетевого сканирования

� Службы, скрывающие адреса источников, такие как web-прокси

� IP-адреса, содержащиеся в черных списках

� Аномалии протоколов


Уведомления и предупреждения: приложения

� Использование протокола, отличного от стандартногопротокола HTTP для обычного просмотра сайта.

� Странные схемы web-ссылок, автоматические программыпоиска с заданными временными промежутками, необычныезначения поля «user agent» в заголовке HTTP, большоеколичество сообщений HTTP 404, отправка sql команд — всеэто указывает на сканирование приложения

� Слишком большое количество ошибок при аутентификации, например при подборе пароля SSH

� Cпам и фишинг

� В качестве источника подобных сведений можно использоватьсистемные журналы. Некоторые возможности проведения идентификациипредоставляются IPS.


Уведомления и предупреждения: IPS

evIdsAlert: eventId=1170160696969433672 severity=informational vendor=Cisco

originator:

hostId: ips6x

appName: sensorApp

appInstanceId: 587

time: 2007/05/16 23:56:16 2007/05/16 18:56:16 CDT

signature: description=Illegal IP Space Monitoring id=60000 version=custom

subsigId: 0

sigDetails: Checks for Illegal IP Destination

marsCategory: Info/Misc

interfaceGroup: vs0

vlan: 144

participants:

attacker:

addr: locality=OUT 192.168.208.63

target:

addr: locality=OUT 192.168.249.5

os: idSource=unknown relevance=relevant type=unknown

triggerPacket:

<truncated>

riskRatingValue: attackRelevanceRating=relevant targetValueRating=medium 32


interface: ge0_7

protocol: icmp


Уведомления и предупреждения: системный журнал

� С помощью таких средств, как syslog-ng, можно проводитьавтоматический анализ данных системных журналов для созданияуведомлений и предупреждений

� Для автоматического анализа или разбора данных системныхжурналов существует несколько средств на основе открытого кода

� Данные системного журнала можно импортировать в систему CS-MARS, после чего из нее могут быть выполнены запросы или правилаи соотнесены с другими событиями

� Системный журнал промежуточных устройств (например, устройствмаршрутизации, коммутации и контроля доступа) содержит сведенияо событиях, происходящих в сети

� Системный журнал оконечных устройств содержит реальнуюинформацию о событиях на хосте


Уведомления и предупреждения: системные журналы

root@ubuntu:/var/log/apache# more access.log

10.10.2.3 - - [17/May/2007:06:19:46 -0400] "GET / HTTP/1.1" 200 5300 "-"

"Mozilla/4.75 (Nikto/1.36 )" "-"

10.10.2.3 - - [17/May/2007:06:19:46 -0400] "GET /cgi.cgi/ HTTP/1.1" 404 277 "-"

"Mozilla/4.75 (Nikto/1.36 )" "-"

10.10.2.3 - - [17/May/2007:06:19:46 -0400] "HEAD / HTTP/1.1" 200 0 "-"

"Mozilla/4.75 (Nikto/1.36 )" "-"

10.10.2.3 - - [17/May/2007:06:19:46 -0400] "OPTIONS / HTTP/1.0" 200 - "-"

"Mozilla/4.75 (Nikto/1.36 )" "-"

10.10.2.3 - - [17/May/2007:06:19:50 -0400] "TRACE / HTTP/1.0" 200 117 "-"

"Mozilla/4.75 (Nikto/1.36 )" "-"

10.10.2.3 - - [17/May/2007:06:19:50 -0400] "TRACK / HTTP/1.0" 501 315 "-"

"Mozilla/4.75 (Nikto/1.36 )" "-"

root@ubuntu:/var/log/apache# more error.log

[Wed May 16 02:04:30 2007] [error] [client 10.10.2.3] File does not exist:

/var/www/Nikto-1.36-6iGnKngtBo8ZYOFE0kp.htm


/var/www/cgi.cgi/


/var/www/webcgi/


/var/www/cgi-914/


/var/www/cgi-915/


Уведомления и предупреждения: CSA

� Правило на основе CS-MARS для доступа к пространству IP-адресовзлоумышленников

� Оно может быть распространено на IP-адреса, содержащиеся вчерном списке, прокси-серверы, серверы для кэширования web-страниц. Правила CS-MARS не обязательно должны учитыватьособенности определенного устройства обнаружения.


Анализ

� Проверка

� Определение степени достоверностиобнаружения атаки

� Контекст (среда выполнения)

� Влияние

� Системы IPS и CS-MARS до известной степениопределяют уровень достоверности обнаруженияатаки, ее контекст и оказываемое ею влияние


Контекст и определение степенидостоверности обнаружения атаки

� CS-MARS определяет контекст путем анализа события вконтексте политики и других связанных сетевых и системныхсобытий

� В этом случае имеется преимущество в определенииконкретного уровня достоверности обнаружения и проверкиатаки

� IPS версии 6 определяет контекст атаки с помощью рейтингарелевантности атаки и реакции сети IPS

� IPS определяет степень достоверности обнаружения атаки засчет использования атрибута рейтинга точности сигнатура, назначенного сигнатуре


Рейтинг рисков IPS

� ASR = Рейтинг серьезности (25,50,75,100)

� SFR = Рейтинг точности (степень точности сигнатуры 55–100)

� TVR = Рейтинг значимости цели (определяетсяпользователем)

� ARR = Рейтинг релевантности атаки (изучается илиопределяется пользователем)

� WLR = Рейтинг в списке контроля (при использовании с CSA)

� PD = Разность в режиме promiscuous(при развертывании в режиме promiscuous)

RR = (ASR*TVR*SFR )/10000 + ARR – PD + WLR


Рейтинг угрозы IPS

� Рейтинг угрозы представляет собой рейтинг риска, которыйснижен на основании действий при событии, выполненныхустройством IPS

� TR = RR – действие

Блокирование передачи от атакующего на промежуточном узле – 45, Блокирование передачи от атакующего к цели на промежуточном узле – 40

Блокирование передачи от атакующего к службе на промежуточном узле – 40

Блокирование соединения на промежуточном узле – 35, Блокирование передачи пакетов на промежуточном узле – 35

Изменение передачи пакетов – 35

Блокирование запросов от хоста – 20, Блокирование запросов на соединение – 20

Сброс TCP-соединения – 20, Запрос на ограничение скорости – 20


Рейтинг угрозы IPS: неизвестная цель


originator:

hostId: ips6x

appName: sensorApp




version=S137

subsigId: 0



interfaceGroup: vs0

vlan: 200

participants:

attacker:


port: 80

target:


port: 32951

os: idSource=unknown type=unknown relevance=unknown

context:

fromAttacker:

triggerPacket: <truncated>

riskRatingValue: 60 targetValueRating=medium


interface: ge0_7

protocol: tcp


Рейтинг угрозы IPS: цель — Windows


originator:

hostId: ips6x

appName: sensorApp




version=S137

subsigId: 0



interfaceGroup: vs0

vlan: 144

participants:

attacker:


port: 80

target:


port: 1117

os: idSource=learned type=windows-nt-2k-xp relevance=relevant

context:

fromAttacker:

triggerPacket: <truncated>

riskRatingValue: 70 targetValueRating=medium attackRelevanceRating=relevant


interface: ge0_7

protocol: tcp


Обзор контекстного анализа CS-MARS

� События — необработанные сообщения, отправленныеустройствами формирования отчетов в систему CS-MARS. Примеры: данные системных журналов, SNMP-сообщения, статистика NetFlow и сигнатуры IPS.

� Сеансы — коррелированные события

� Инциденты — сеансы, соответствующие правилам, которыесвидетельствуют о неправомерном поведении

� Правила используются для выполнения логического анализасобытий, формирующих сеансы и, возможно, инциденты


Правила CS-MARS

� Корреляция событий, происшедших в течение определенноговремени, позволит считать их инцидентами


Правила CS-MARS в действии

� Корреляция событий для одних и тех же IP-адресовотправителей и получателей в течение определенноговремени позволит считать их инцидентом


Автоматизация

� До устранения угрозы необходимо провести надлежащийанализ идентифицированных данных, чтобы как следует понять события и выполнитьавтоматическое отражение

� Существует несколько способов, с помощью которых можнополучить некоторую степень автоматизации. К ним относитсякорреляция на устройстве, корреляция между устройствами, целевой мониторинг известной неправомерной сетевойдеятельности, например пространства IP-адресовзлоумышленников или honeypot.


Автоматизация

� Взаимодействие IPS / CSA имеет несколько существенныхпреимуществ. IPS может автоматически получать информацию о состоянииоконечного устройства, которая используется для вычислениярейтинга угрозы, что обеспечивает более точное ее обнаружение. Неизвестные или зашифрованные эксплоиты, которые не удалосьопределить с помощью IPS, возможно будут обнаружены CSA. CSA-MC может выполнять корреляцию данных и создавать автоматическиесписки контроля, которые могут быть направлены в IPS, а такжеавтоматически настраивать рейтинг угрозы для событий, определяемых по адресам, которые входят в список контроля.

� CS-MARS может сократить количество событий за счет корреляции иприменения известных методов снижения ложных тревог. Передачаданных по существу сходна с использованием источника данных и, ксожалению, направленные атаки могут быть не зарегистрированыисточником данных, уходя, таким образом от CS-MARS.

� Механизм метасобытий IPS может использоваться на некоторыхустройствах для корреляции событий, каждое из которых не являетсядостаточно значимым


Автоматизация взаимодействияCSA/IPS

evIdsAlert: eventId=1166774738236276775 vendor=Cisco severity=low

originator:

hostId: ips6x

appName: sensorApp

appInstanceId: 388

time: May 17, 2007 8:33:28 PM UTC offset=-300 timeZone=CDT

signature: description=TCP SYN Port Sweep id=3002 version=S2

subsigId: 0

marsCategory: Probe/PortSweep/Non-stealth

interfaceGroup: vs0

vlan: 0

participants:

attacker:


port: 55852

target:


port: 663

port: 33

port: 231

port: 564

port: 838

os: idSource=imported type=windows relevance=relevant

triggerPacket: <trucated>

riskRatingValue: 77 targetValueRating=medium attackRelevanceRating=relevant

watchlist=25


interface: ge0_0

protocol: tcp

Повышение рейтинга угрозы, обусловленноесписком контроля


Автоматизация: метасобытия IPS


Расширенная автоматизация

� CS-MARS располагает возможностями логических правил «и», «или» и«за которым следует», а также функцией поиска в строке, поэтомуможно создавать более расширенные правила

� Например, с помощью комбинации для поиска HTTP, за которымследует попытка атаки SQL Injection, можно более точно обнаружитьпопытки зондирования HTTP и атаки SQL Injection независимо отоконечного устройства

� Кроме того, можно создать правило, которое выводило бы оповещениепри каждом зондировании, выполняемом с IP-адреса, занесенного вчерный список, или если IP-адрес, отсутствующий в черном списке, получает доступ к пространству IP-адресов злоумышленников и такжевыполняет зондирование


Расширенная автоматизация


Отражение впроактивном режие


Предотвращение атак на оконечныеустройства с помощью CSA� Для достижения успеха все атаки следуют определеннымповедениям, CSA позволяет остановить эти действия спомощью модулей перехвата

� Неизвестные и целевые атаки

Могут обойти или ликвидировать другие развернутые механизмы защиты

� Защита от неизвестных атак = возможность остановкираспространения вредоносного кода без реконфигурации илиобновления

Защита оконечных устройств от риска угрозы, поскольку другие средствазащиты могут не работать

� Ограниченное количество «направлений» атак в системе; всеатаки должны использовать одно или несколько поведений

Остановив атаку на одном из этих направлений, вы предотвратите развитиевсей атаки (существует не одна, а несколько возможностей)

� Мониторинг и контроль подобных поведений предотвращаютвыполнение злонамеренных действий


Предотвращение выполнения

� Cisco Security Agent (CSA) предоставляет несколькомодулей перехвата дляобнаружения и предотвращенияугроз

Сеть

Файловая система

Конфигурация

Область выполнения

� CSA действует наиболееэффективно дляпредотвращения атак, направленных на оконечныеустройства

� Не забывайте о методахзащиты, работающих в сети

Приложение

модульперехватафайла

сетевоймодуль

перехвата

модульперехвата

конфигурации

модуль перехватаобласти

выполнения

ядро

РАЗРЕШИТЬмеханизмправил ЗАПРЕТИТЬ

состояниеправила иполитики

механизмкорреляции

решение, принятоепрактически в

режиме реальноговремени


Правила политики определяютмодули перехвата

�Маркирование трафика

��Гарантия целостности файла

��Управление политикойбезопасности беспроводных сетей

��Обнаружение вторжения в хост-машину

�Интеграция IPS и NAC

��Предотвращение вторжениясетевых червей

��Защита от шпионских ивредоносных программ

�Распределенный межсетевой экран

Областьвыполне-ния

КонфигурацияФайловаясистема

СетьПриложение безопасности


Атака на интерфейс RPC службы DNS в ОС Microsoft — CSA в действии

Средства обеспечения безопасностиприложений предоставляют несколько

уровней защитыс использованием политик по

умолчанию


Отражение вреактивном режиме


Защита от вторжений в сеть

� Обнаружение вредоносных данных, выполнение анализа наповеденческом уровне, обнаружение аномалий, настройки политик ииспользование методов быстрого реагирования на угрозы

� Режим работы «в линии передачи данных» или режим promiscuous

� Система автоматического предотвращения угроз в IPS 6.x блокируетпакеты с диапазоном номинального значения 90 – 100

� Мультивекторная защита во всех точках сети, настольных систем исерверных оконечных устройств

Интеграция с Cisco CSA и контроллером беспроводных сетей Cisco

01111110101010100001110001001111100100010001001000100010010111111010101010000111000100111110010001000100100010001001


IPS: Пороговые значения рисковуправляют отражением атаки

Серьезностьсобытия

Точностьсигнатуры

Релевант-ность атаки

Ценностьактивовобъекта

Рейтингугрозы

Насколькоактуальна угроза?

Насколько вероятнаошибка?

Релевантна ли атакадля атакуемогохоста?Насколько важенхост назначения?+

+

+

= рейтингриска

Результат: взвешенный рейтинг риска позволяетосуществлять масштабируемое управлениеэффективными технологиями предотвращения угроз

Управлениеполитикой

отражения угрозы


Рейтингугрозы

85

Атака 1: Не настроено никаких действий

Рейтинг риска = 85

Рейтинг угрозы = 85

Атака 2: Настроенные действия

Отраженные атаки

Рейтинг риска = 85

Рейтинг угрозы = 55

55

IPS - Рейтинг угрозы:оценка серьезности инцидента после применения политики

Рейтинг угрозы

� Динамическая настройка рейтинга рискасобытия на основе успешного выполненияответного действия

� Если было применено ответное действие, торейтинг риска уменьшается (TR < RR)

� Если ответное действие применено не было, то рейтинг риска не изменяется (TR = RR)

Преимущество

� Назначение приоритетов уведомлениям дляпривлечения внимания оператора

� Оператор может сконцентрировать ответныедействия при инциденте на тех угрозах, которые не были отражены


IPS: Что делать — запретить, заблокировать или сбросить?

� Запрет на передачу трафика осуществляется с использованиемустройств, инспектирующих потоки

Определение вредоносного или несанкционированного трафика и егоотклонение

Знание состояния трафика для протоколов на основе соединения

� Блокировка трафика осуществляется с помощьювспомогательного устройства

Позволяет устранять угрозу ближе к злоумышленнику

Возможное возникновение DoS, блокирование разрешенного трафика

� Отправление TCP RST для потоков трафика на основесоединений

Ограничение области действия протокола и добавление пакетов RST в сеть

В зависимости от структуры IPS существует возможность устранения угрозыближе к объекту воздействия


IOS: Расширенные списки контролядоступа

� Flexible Packet Matching (FPM) выполняет глубокую инспекциюпакетов для сдерживания распространения угроз и соблюденияполитики

Сопоставление полей заголовков протоколов и/или контекста области данных

Уровень со 2 по 7 – возможность сопоставления с любым битом/байтом в пакете

� Политики фильтрации, определенные пользователем(классификаторы трафика)

Возможность выбора ответных действий

� Адаптация к динамически изменяющимся профилям атак

Быстрое распространение политик фильтрации (для ответных действий на угрозы врежиме почти реального времени можно использовать EEM)

� Возможность развертывания механизмов защиты ипредотвращения ближе к объекту воздействия и злоумышленнику

Заголовокуровня 2



Кадр

Кадр

Первый…Второй… Область данных…Область данных…Область данных…


IOS: Гибкость стека

IP TCPUDP ICMP ETH GRE

AHIP UDP

IP

IP UDP

UDP

GRE IP

Область данных пакета



Фильтр FPM

Фильтр FPM

Фильтр FPM

Один и тот же фильтр FPM можно применить к нескольким стекам протоколов


IOS: Определение политики FPM

2: Создание фильтра FPM

3: Создание политики FPM

5: Вложение политики FPM

1: Создание стека протоколов

4: Создание вложенной политики FPM


<?xml version="1.0" encoding="UTF-8"?>

<phdf>

<version>1</version>

<protocol name="ip" description="IP-Protocol">

<field name="version" description="IP-Version">

<offset type="fixed-offset" units="bits"> 0 </offset>

<length type="fixed" units="bits">4</length>

</field>

--- TRUNCATED OUTPUT ---

<field name="dest-addr" description="IP-Destination-Address">

<offset type="fixed-offset" units="bytes">16</offset>

<length type="fixed" units="bytes">4</length>

</field>

<field name="payload-start" description="IP-Payload-Start">

<offset type="fixed-offset" units="bytes">20</offset>

<length type="fixed" units="bytes">0</length>

</field>

<headerlength type="fixed" value="20"></headerlength>

<constraint field="version" value="4" operator="eq"></constraint>

<constraint field="ihl" value="5" operator="eq"></constraint>

</protocol>

</phdf>

IOS: PHDF – файл определениязаголовка протоколаhttp://www.cisco.com/cgi-bin/tablebuild.pl/fpm


IOS: TCDF – файл определенияклассификации трафикаhttp://www.cisco.com/cgi-bin/tablebuild.pl/fpm – 12.4(6)T

<?xml version="1.0" encoding="UTF-8"?>

<tcdf>

<class name="ip_udp_stack" type="stack">

<match>

<eq field="ip.protocol" value="0x11" next="udp"></eq>

</match>

</class>

<policy type="access-control" name = "udp_policy" >

</policy>

<policy type = "access-control" name = "fpm_policy_template">

<class name = "ip_udp_stack"></class>

<action>service-policy udp_policy</action>

</policy>

</tcdf>


IOS: Политика FPM для червя Slammerload protocol disk0:ip.phdf

load protocol disk0:udp.phdf

!

class-map type stack match-all ip_udp_class

description "match UDP over IP packets"

match field ip protocol eq 17 next udp

1

class-map type access-control match-all slammer_class

description "match on slammer packets"

match field udp dest-port eq 1434

match field ip length eq 404

match start udp payload-start offset 196 size 4 eq 0x4011010

!

policy-map type access-control fpm_udp_policy

description "policy for UDP based attacks"

class slammer_class

drop

log

!

policy-map type access-control fpm_policy

description "drop worms and malicious attacks"

class ip_udp_class

service-policy fpm_udp_policy

!

interface gigabitEthernet 0/1

service-policy type access-control input fpm_policy


IOS: FPM – Мониторинг

� Отображение всех или назначенных карт класса FPM

router# show class-map type [stack | access-control] [<name>]

� Отображение всех или назначенных карт политик FPM

router# show policy-map type access-control [<name>]

� Отображение карт политик FPM в назначенном интерфейсе. Отображениеколичества совпавших пакетов

router# show policy-map type access-control interface <interface>

или

router# show policy-map type access-control control-plane <>

� Отображение сведений о времени выполнения для загруженных классов иполитик FPM

router# show protocols phdf <loaded-protocol>

� Отображение листинга определенных пользователем файлов PHDF, хранящихсялокально на маршрутизаторе

router# dir disk0:*.phdf

� Отслеживание всех событий FPM на плоскости управления и плоскости данных

router# debug fpm event


IOS: Производительность FPM иэквивалентные ACL

� Сравнение FPM с ACL (процентное отношение использования)

� Десять классов FPM или эквивалентный ACL

� Совпадение в src/dst ip addr, src/dst tcp port и протоколе tcp

� Десять потоков трафика TCP, совпадение 50% сгенерированного трафика

� 7206VXR NPE-400, 128 Мбайт, 12.4(4)T

59%59%59%50%42%Пятое сопоставление FPM

37%37%37%36%30%Первое сопоставление ACL

43%43%43%42%38%Первое сопоставление FPM

17%16%15%14%13%Фильтр отсутствует

39%

50%

41%

5 000 пакетовв секунду

39%39%39%32%Десятое сопоставление ACL

50%50%50%42%Десятое сопоставление FPM

41%40%39%32%Пятое сопоставление ACL





Тип фильтра


PIX/ASA:Среда модульных политик (MPF)

� MPF предоставляет возможность определения конкретной политикиили набора политик для классификации трафика для расширеннойпроверки

� MPF построен на основе трех связанных команд CLI:

Карта класса ((((ClassClassClassClass----mapmapmapmap)))) - идентификация трафика, для котороготребуется определенный тип контроля; карты классов имеютопределенные имена, связывающие их в карту политикиКарта политики (Policy-map) - описание действий, применяемых ктрафику, описанному в карте класса; карты политик также имеютопределенные имена, связывающие их в политику услугПолитика услуг (Service-policy) - описание места контроля трафика; длякаждого интерфейса может существовать только одна политика услуг; длятрафика и приложения глобальной политики определена дополнительнаяполитика услуг, называемая «глобальной политикой услуг», онаприменяется к трафику на всех интерфейсах


ASA: Точный контроль действийприложений

� В данном примере политика разрешает только команды FTP «GET» и отправляет TCP RST для команд, указанных в списке«match request-command»

class-map type inspect ftp match-all ftp-class-inspect

match request-command appe cdup dele help mkd put rmd rnfr rnto site stou

!

policy-map type inspect ftp ftp-app-inspect

class ftp-class-inspect

reset

!

policy-map global_policy

class inspection_default

inspect ftp strict ftp-app-inspect

!

service-policy global_policy global

!


ASA: В версию 7.2 включен механизм поиска сиспользованием регулярных выражений

� Поиск с использованием регулярных выражений обеспечиваетзначительную гибкость при контроле работы приложений

� Регулярное выражение представляет собой строку символов, описывающую искомый текст, и имеет определенныйсинтаксис

� Можно выполнять поиск совпадений по имени файла, егосодержимому, строке или любой их комбинаций

� В средства межсетевой защиты PIX/ASA включен мастеррегулярных выражений, содержащий полезное средствотестирования

� Дополнительные сведения о регулярных выражениях см. поадресу http://en.wikipedia.org/wiki/Regex


ASA:Сокращения регулярных выражений

Для удобства используется ряд общих сокращений. Типичные примеры:

1 символ, НЕ содержащийся взаданном диапазоне

^(a|b|…|z)[^a-z]

Привязывает соответствие к началустроки

Точкапривязки

^

1 из заданных символов(a|b|x|y|z)[abxyz]

1 символ в заданном диапазоне(a|b|…|z)[a-z]

0 или 1 вхождение(r | ε)r?

1 или более вхождений(rr*)r+

ПримечанияЗначениеСокращение


ASA:Пример регулярного выражения

Требование: Совпадение в любых сообщениях HTTP GET или POST:

asa(config)# regex test_get “get”

asa(config)# regex test_post “post”

� Совпадение только с GET и POST, которые были введены в нижнемрегистре

� Оптимальное регулярное выражение для поиска совпадений прикомбинации регистров:

asa(config)# regex test_get “[Gg][Ee][Tt]”

asa(config)# regex test_post “[Pp][Oo][Ss][Tt]”

� Для проверки синтаксиса строки регулярного выражения следуетиспользовать либо команду CLI test regex <reg exp>, либо мастерASDM Regex Wizard


ASA: Развитие процессов контроля HTTP

� До выхода версии 7.0 контроль HTTP ограничивался простойрегистрацией запросов GET URL-адресов при условиинадлежащего определения уровней регистрации.

� В версии 7.0 представлено несколько новых возможностейконтроля HTTP:

команда http-map для улучшенного контроля

разрешение/запрет определенных методов HTTP иразрешение/запрет определенных расширений HTTP

настройка максимального размера заголовка HTTP и URI

разрешение/запрет подмножестваопределенных типов MIME

настройка максимального и минимальногоразмера тела HTTP


ASA: Развитие процессов контроля HTTP

� Политики контроля по умолчанию для протоколовIM, P2P и протоколов туннелирования(использование show run all для отображения вконфигурации)

� В версии 7.2 добавлены дополнительныевозможности контроля (неполный список):

разрешение/запрет передачи пакетов с заголовками, содержащими несколько типов содержимого

выборочный контроль протоколов внутри HTTP

разрешение/запрет нулевого кодирования HTTP

разрешение/запрет заголовков запросов, параметров форм, заголовков ответов, не соответствующих ASCII

Маскирование баннера сервера HTTP

Java, ActiveX и другие возможности фильтрацииапплетов/скриптов для улучшения действия существующихкоманд фильтра


ASA:Code Red версии 1

� Атака на web-серверы Windows IIS путем переполнения буфера вслужбе индексации (поиска)

� 18 июня 2001 года вышло предупреждение об опасности , 12 июля 2001 года был выпущен червь

� За первые 14 часов было заражено более 359 000 компьютеров, впиковый период количество машин, заражаемых в минуту, достигало 2000

� Строка эксплоита Code Red версии 1:

GET/default.IDA?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Более подробных сведения об анализе Code Red см. по адресу: http://research.eeye.com/html/advisories/published/AL20010717.html


ASA: Регулярное выражение для поиска Code Red vI

asa(config)# regex CodeRed1 “N{50,}”

По этой строке выполняется поиск минимум 50 вхождений буквы«N», являющейся показателем деятельности хоста, зараженногочервем CodeRed


ASA:Фильтрация URI Code Red I и II


ASA: Дамп трафика на межсетевом экранадля профилирования приложения

access-list HOSTCHECK extended permit ip host 192.168.1.201 any

access-list HOSTCHECK extended permit ip any host 192.168.1.201

asa>#capture CAP-HOST access-list HOSTCHECK interface inside

asa>#sh capture CAP-HOST

26 packets captured

…

11: 192.168.1.201.1935 > 66.151.158.177.80: S

4141954911:4141954911(0) win 64240 <mss 1460,nop,nop,sackOK>

12: 192.168.1.201.1936 > 66.151.158.177.8200: S


13: 192.168.1.201.1937 > 66.151.158.177.443: S


14: 66.151.158.177.80 > 192.168.1.201.1935: S

2862815220:2862815220(0) ack 4141954912 win 8190 <mss 1380>

15: 192.168.1.201.1935 > 66.151.158.177.80: . ack 2862815221 win

64860

16: 192.168.1.201.1935 > 66.151.158.177.80: P

4141954912:4141954975(63) ack 2862815221 win 64860

…

SYN - на

порт 80

SYN - на

порт 8200

SYN - на

порт 443

SYN-ACK

от порта 80

(подтверждение установлениятрехстороннего соединения)

HTTP GET с web-узла


ASA: Использование дампа трафика дляпрофилирования приложения

� Альтернативным вариантом является сохранение дампа в формате.pcap и просмотр в анализаторе протоколов

� Использование обозревателя: https://<fw_ipaddr>/захват/<имя_захвата>/pcap/<имя_файла>.pcapи сохранение файла для анализа

� Функция Wireshark «Follow the TCP stream» позволяет просмотретьзапуск приложения Go2myPC (приложение для организацииудаленного доступа):

GET /servlet/com.ec.ercbroker.servlets.PingServlet

HTTP/1.0

HTTP/1.0 200 OK

Pragma: no-cache

Content-Type: text/plain

Content-Length: 41

ERCBroker broker http://www.gotomypc.com


ASA: Мастер создания регулярныхвыражений ASDM

� Это строка, покоторойвыполняетсяпоиск

� Установленпараметригнорированиярегистра припоиске


ASA: Пример использования, часть 2 —контроль ASDM HTTP

� Следует учесть, что вполитике контроля HTTP можно задать условия, предусматривающиепрерывание соединения, сброс клиента и сервера(TCP RST) или регистрациюподключения

� Поскольку наша политикабезопасности не позволяетвыполнять удаленноеуправление компьютером, соединение будетпрервано, соответствующаязапись будет занесена вжурнал

� Критерий совпадения —проверка URI, отправляемого клиентом


ASA: Применение политики сервисов кинтерфейсу

� В этом примере следует учесть, что политика сервисовпроверяет только tcp/80. Весь остальной трафик не связанс этой политикой

� При необходимости можно было выбрать более точныеадреса отправителей и получателей уровня 3


ASA:Краткий обзор контроля приложений

� В версии PIX/ASA 7.0 проведена модернизация и выполненыусовершенствования средств контроля работы приложений вустройствах защиты межсетевых взаимодействий

� Начиная с версии 7.2, в устройствах PIX и ASA былпредставлен механизм поиска с использованием регулярныхвыражений.

� Строки регулярных выражений могут быть оченьэффективными и комплексными; используйте средствосоздания регулярных выражений ASDM и проверьтедействительность совпадения по строке

� При использовании комплексного поиска по строке и приработе межсетевого экрана с большой нагрузкой следуетпринимать во внимание возможные проблемыпроизводительности


Перспективы


Сдерживание распространения угроз спомощью TIDP

� Служба устранения угроз (Threat Mitigation Service, TMS) являетсясистемой для быстрой организации и распространения ответныхдействий на угрозы в масштабах всей сети(пока в процессе разработки !)

Реагирование на угрозы практически в режиме реального времени

� Протокол распространения информации об угрозе (ThreatInformation Distribution Protocol, TIDP) используется для передачисообщений, содержащих краткие сведения об угрозахи предлагаемые действия по их устранению

Сообщение с информацией об угрозе (TIM)

� Для устройств определены политики для передачи определенноговида трафика и выполнения ответных действий на угрозу

Список контроля доступа

Перенаправление трафика

Передовые средства быстрого сдерживания распространения угроз иорганизации ответных действий


Протокол распространения информации обугрозе (Threat Information DistributionProtocol, TIDP)

� TIM передается потребителям TIDP с контроллера службыTMS

Сообщение с информацией об угрозе идентифицирует саму угрозу

TIM, созданное в файле определения угрозы с использованиемXML

� Сообщения аутентифицированы, зашифрованы и имеютзащиту от повторной передачи

� Для приемных устройств настроены уникальные политики

Устройство использует локальную политику для преобразованияTIM в средство динамической корректировки политики


Быстрое устранение угроз

� TIDP — протокол, предназначенный для быстрого распространенияинформации о сетевых угрозах

� Все узлы, поддерживающие TIDP, используют область данных всоответствии с собственной конфигурацией и преобразовывают еедля выполнения необходимых действий

Threat Information

Distribution Protocol

— протокол

распределения

информации об

угрозе

Сервер NMS/Syslogдля регистрации

Создание TIM с помощью CLI

/ SDM

КонтроллерTIDP

Система правил,

отдельная длякаждогоустройства

Интеллект воконечных устройствах

TIM *

TIM *

* TIM – Сообщение с информацией об угрозе


Вопросы и ответы

Обнаружениеи предотвращение угрозбезопасности

Documents

Transcript of Обнаружениеи предотвращение угрозбезопасности